筆記: 初探 Security Development Lifecycle (SDL)

最近客人想要瞭解公司SDL實施的程度.因此接觸了相關的資料,才發覺許多公司都揭露相當多且完整的作法.不過,如果不是經常有接觸相關資訊或公司已有相當完善的程序.我以粗淺的認知,寫下心得. 如果有興趣更深入,可以點擊Mircosoft 官網. 安全開發生命週期(SDL)是一個幫助軟體開發相關人員在專案執行過程中, 從一開始就將安全考量在程式設計時, 符合設計規範和應該注意細節的部分。目的在最小化漏洞並將安全措施作為軟體開發的基本部分而不是事後patch的框架。通過整合 SDL,開發人員可以確保他們的軟體從第一行代碼開始就對威脅具有基本的防禦,從而為用戶和企業創造更安全的服務. 要實施SDL流程,有幾個重要的階段.這些階段就是在為你所寫的代碼過程一步步建立起安全機制. SDL實施階段: 需求階段: 在這個階段,是學習如何識別和防範安全威脅, 研發團隊會根據客戶及產品需求, 依照下列所涵蓋主要法規及標準將所需處理的資料類型、已知的威脅、最佳做法來定義這些需求 . NIST網絡安全框架( NIST Cybersecurity Framework): 由美國國家標準技研究院所頒布, 是一套用於企業網絡安全的指南, 包含識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)五個功能,已正式將此5個功能之防禦概念,放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中. 期望幫助更多不同企業、類型與規模的組織應對網路安全挑戰. . 產品資安事件應變小組(PSIRT): PSIRT這份文件目的是,指導企業內如何建立一個組織,管理產品、解決方案、零組件,以及服務,所面臨的資安漏洞和引發的相關資安風險,內容涵蓋了利益參與者管理、漏洞發現、分類、分析、補救、披露和培訓等方面. . 卓越代碼軟體保障論壇(SAFECode): 是一個非營利性、全球性、行業主導的組織,SAFECode組織發佈了「安全軟體開發的基本實踐:安全開發生命周期計劃的基本要素」指南, 它涵蓋了識別和管理應用程序安全控制、安全設計原則、威脅建模、安全編碼實踐以及處理第三方組件風險等主題。文件強調了在整個軟件開發生命週期(SDL)的所有階段採取綜合方法的重要性,包括設計、編碼、測試和管理漏洞. . 美國商務部國家電信資訊管理局 (NITA): 美國國家電信暨資訊管理局從2019年開始起草並核定了一系列的文件,提供SBOM (Software…